Zapnutí auditování a monitorování stavu pro Microsoft Sentinel (Preview)

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Monitorujte stav a auditujte integritu podporovaných prostředků Microsoft Sentinelu zapnutím funkce auditování a monitorování stavu na stránce Nastavení služby Microsoft Sentinel. Získejte přehled o posunech stavu, jako jsou nejnovější události selhání nebo změny z úspěchu na stavy selhání a o neoprávněných akcích, a použijte tyto informace k vytváření oznámení a dalších automatizovaných akcí.

Pokud chcete získat data o stavu z tabulky dat SentinelHealth nebo získat informace o auditování z tabulky dat SentinelAudit , musíte nejprve zapnout funkci auditování a monitorování stavu služby Microsoft Sentinel pro váš pracovní prostor. V tomto článku se dozvíte, jak tyto funkce zapnout.

Pokud chcete implementovat funkci stavu a auditu pomocí rozhraní API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST), projděte si operace nastavení diagnostiky. Informace o konfiguraci doby uchovávání událostí auditu a stavu najdete v tématu Správa uchovávání dat v pracovním prostoru služby Log Analytics.

Důležité

Tabulky dat SentinelHealth a SentinelAudit jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Požadavky

Zapnutí auditování a monitorování stavu pro váš pracovní prostor

Začněte tím, že povolíte auditování a monitorování stavu z nastavení Služby Microsoft Sentinel.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Nastavení nastavení>.
    Pro Microsoft Sentinel na portálu Defender v části Systém vyberte Nastavení>Microsoft Sentinelu.

  2. Vyberte Auditování a monitorování stavu.

  3. Výběrem možnosti Povolit povolíte auditování a monitorování stavu napříč všemi typy prostředků a odešlete data auditování a monitorování do pracovního prostoru Služby Microsoft Sentinel (a nikde jinde).

    Nebo vyberte odkaz Konfigurovat nastavení diagnostiky a povolte monitorování stavu jenom pro kolektor dat nebo prostředky automatizace nebo nakonfigurujte pokročilé možnosti, jako jsou další místa pro odesílání dat.

    Pokud jste vybrali možnost Povolit, tlačítko se zobrazí šedě a změní se na možnost Povolit... a pak Povoleno. V tomto okamžiku je povolené auditování a monitorování stavu a máte hotovo. Příslušná nastavení diagnostiky byla přidána na pozadí a můžete je zobrazit a upravit výběrem odkazu Konfigurovat nastavení diagnostiky.

  4. Pokud jste vybrali Možnost Konfigurovat nastavení diagnostiky, pak na obrazovce Nastavení diagnostiky vyberte + Přidat nastavení diagnostiky.

    (Pokud upravujete existující nastavení, vyberte ho ze seznamu nastavení diagnostiky.)

    • Do pole Název nastavení diagnostiky zadejte smysluplný název nastavení.

    • Ve sloupci Protokoly vyberte odpovídající kategorie pro typy prostředků, které chcete monitorovat, například Shromažďování dat – Konektory. Pokud chcete monitorovat analytická pravidla, vyberte všechny protokoly .

    • V části Podrobnosti o cíli vyberte Možnost Odeslat do pracovního prostoru služby Log Analytics a v rozevíracích nabídkách vyberte své předplatné a pracovní prostor služby Log Analytics.

      Snímek obrazovky nastavení diagnostiky pro povolení auditování a monitorování stavu

      Pokud potřebujete, můžete kromě pracovního prostoru služby Log Analytics vybrat i jiné cíle, do kterých se mají data odesílat.

  5. Výběrem možnosti Uložit na horním banneru uložte nové nastavení.

Tabulky dat SentinelHealth a SentinelAudit se vytvoří při první události vygenerované pro vybrané prostředky.

Ověřte, že tabulky přijímají data.

Na webu Azure Portal nebo na portálu Defender spusťte dotazy dotazovací jazyk Kusto (KQL), abyste měli jistotu, že získáváte data o stavu a auditování.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Protokoly.
    Pro Microsoft Sentinel na portálu Defender v části Prošetření a odpověď vyberte Proaktivní proaktivní vyhledávání>.

  2. Spusťte dotaz na tabulku SentinelHealth . Příklad:

    _SentinelHealth()
 | take 20

  3. Spusťte dotaz v tabulce SentinelAudit . Příklad:

    _SentinelAudit()
 | take 20

Podporované tabulky dat a typy prostředků

Když je tato funkce zapnutá, vytvoří se tabulky dat SentinelHealth a SentinelAudit při první události vygenerované pro vybrané prostředky.

Monitorování stavu služby Microsoft Sentinel v současné době podporuje následující typy prostředků:

  • Analytická pravidla
  • Konektory dat
  • Pravidla automatizace
  • Playbooky (pracovní postupy Azure Logic Apps)

Poznámka:

Při monitorování stavu playbooku nezapomeňte shromažďovat diagnostické události Azure Logic Apps z playbooků, abyste získali úplný přehled o aktivitě playbooku. Další informace najdete v tématu Monitorování stavu pravidel automatizace a playbooků.

Auditování v současné době podporuje pouze typ prostředku analytického pravidla.

Další kroky